HackTheBox - Beep

 

- 환경

공격자 : 10.10.14.7

타겟 : 10.10.10.7

 

- 스캔

nmap -Pn -n -p- -sV -sC -v --min-rate 2000 --max-retries 4 -oA nmap 10.10.10.7

되게 많습니다. 버전이 있는 부분으로 exploit 먼저 검색해봤습니다.

OpenSSH 4.3

Apache httpd 2.2.3

Cyrus imapd 2.3.7

MiniServ 1.570 (Webmin httpd)

HylaFAX 4.3.10

Asterisk Call Manager 1.1

일단 뭐... 아파치로 접속해보겠습니다.

elastix이라는 옜날 스프트폰 서버를 사용하는 것 같습니다. 해당 elastix의 버전은 모르지만 한번 exploit을 검색해보겠습니다.

여러개가 있습니다. 간단하게 LFI 취약점에대해 가보겠습니다.

/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf%00&module=Accounts&action

exploit 경로입니다. 한번 들어가보겠습니다.

 

- 침투

LFI 취약점이 있습니다. amportal.conf 파일은 elastix의 중요한 환경구성 파일이라고합니다. 한번 아이디와 패스워드 관련해서 있는지 봐보겠습니다.

유저 이름과 의심되는 패스워드들이 보입니다. 서버에 유저가 누가있는지 /etc/passwd 파일을 긁어오겠습니다.

두개를 종합해서 의심되는 유저들은 아래와 같습니다.

fanis

spamfilter

root

mysql

이정도가 있는 것 같습니다. 의심되는 패스워드를 정리해보겠습니다.

amp109

amp111

jEhdIekWmdjE

이들을 가지고 여러가지 로그인을해보면 ssh서버에서 로그인이 됩니다.

루트권한이라서 권한 상승은 필요없을것같습니다.